Kahetasemeline autentimine oleks aidanud

Päeval mil algas Venemaa järjekordne sissetung Ukrainasse, hoiatasin siin blogis eesootavate turbulentsete aegade eest ja palusin, et seekord võiks “lennusaatja” soovitusi kuulda võtta. Täna tuletan taaskord meelde toonast peamist sõnumit, milleks on vajadus kõikjal, kus vähegi võimalik, kasutada kahetasemelist autentimist.

Zone pakub kahetasemeliseks autentimiseks mitmeid võimalusi. Nendest levinuim on Google Authenticatori, Authy ja teiste sarnase funktsionaalsusega mobiiliäppide poolt kasutatav TOTP standard.

Seda universaalset ja mugavat võimalust saavad meie kliendid ja nende kasutajad tarbida nii oma ZoneID kasutaja juures kui ka Zone veebipõhises e-posti kliendis.

Lisaks toetame Zones loomulikult Eestis levinud ja juba olemuslikult kahetasemelisi autentimisvahendeid nagu ID-kaart, Mobiil-ID ja Smart-ID. Kui on võimalus ja valmisolek sellist vahendit kasutada, siis soovitame oma ZoneID osas salasõnaga autentimise üldse välja lülitada.

Eriti palun, et seda sõnumit võtaks kuulda professionaalid, kes kannavad hoolt teiste ettevõtete ja organisatsioonide veebimajutuse ja muude IT-teenuste eest.

Olen kuulnud, et paljud sellised kasutajad ei kasuta kahe faktoriga autentimist, sest nad leiavad, et kui ühele ZoneID kontole peab ligi saama mitu isikut, siis on salasõna jagamine selleks ainus hea võimalus ja kahe faktoriga autentimine muudab jagamise ebamugavaks.

Tegelikult nii ei ole.

Ühe lihtsa, aga mitte nii mugava, võimaluse ZoneID kontot jagada pakuvad Eesti “vanad head” isikustatud autentimisvahendid ID-kaart, Mobiil-ID või Smart-ID, kui ZoneID seotakse mitme inime isiku autentimisvahendiga (ja ühtlasi isikukoodiga), siis saavad kõik need isikud kontot hallata end nendega autentides.

Mugavaima ja korrektseima võimaluse ligipääsu jagamiseks Zone teenustele pakub aga see, kui iga seda haldav isik teeb endale oma ZoneID konto, nendele kontodele delegeerib Zone teenuse omanik vastavad õigused ja haldavate kontode omanikke juhendatakse kasutama ID-kaarti, Mobiil-ID’d või Smart-ID’d enese autentimiseks.

Mõlemal juhul soovitame salasõnaga autentimise sellistel kontodel üldse välja lülitada.

Põhjuseid selle soovituse ülekordamiseks on mitmeid, kuid peamiseks on see, et me tuvastame praktikas pidevalt, kuidas katsed kasutajate salasõna ära arvata on sisuliselt jäänud minevikku ja kurjategijad sisenevad kompromiteeritud kontole edukalt juba esimesel katsel.

Kolm peamist ründevektorit, mis seda tõenäoliselt võimaldavad on järgmised:

• kasutaja arvuti on nakatunud pahavaraga ja tema salasõnu kuulati kas klaviatuurilt pealt või varastati brauserisse salvestatud salasõnad
• kasutaja on usaldanud oma salasõna välisele teenusele, kust see on varastatud ja lahti murtud
• kasutaja on läinud õngitsusrünnaku ohvriks ja sisestanud oma salasõna kurjategija veebilehele.

Viimased kaks võivad olla ka omavahel seotud, sest kui LastPassist varastati nende salasõnade talletamisteenuse klientide andmed, siis läks nendega kasutama ka klientide meta-data, mis sisaldas kasutajanimesid, e-posti aadresse, ettevõtete andmeid jne, mis võimaldavad nüüd kurjategijatel luua äärmiselt hästi sihitud õngitsusrünnakuid.

Kahetasemeline autentimine aitab maandada kõiki neid riske ja kuna selle kasutamine on hetkel lisaks ka meie kulul, siis ei ole põhjust neid võimalusi mitte kasutada. Sest isegi kui salasõna mõnel ülalloetletud viisil lekiks, siis kahetasemeline autentimine päästaks päeva.